Sparkassen Trojaner

[Spilli]

Hab mal den Titel geändert, da ich unter Google schon viel über diese Schlagwörter gefunden habe

Hallöchen,

meine Faulheit und Skepsis hat mich wohl vor einem leeren Bankkonto bewahrt.

Wollte heute eine Onlineüberweisung machen bei der Sparkasse.
Klicke wie gewohnt auf Anmelden, plötzlich erschien dieses Fenster:


Gut, kümmerst dich später drum und bin auf die HP meiner anderen Bank gewechselt. Selbes Spiel, leider nur nachdem ich mich eingeloggt habe . Da sollte ich dann gleich 100 iTans eintippen!

Also vorsicht, nicht jedes Fenster was sich auf "bekannten und vertrauensvollen" Seiten öffnet ist absicht.

Kann mir jemand ein gescheites Virenprogramm empfehlen was nicht gleich ein halbes Vermögen kostet?

[daniel_pir-at]

Umstellen auf SMS Tan oder Chip Tan hilft auch gegen sowas. Bei Virenprogrammen setze ich auf Antivir.

[dodohoho]

Ohh, was es beim Online Banking alles für Betrügereien und Viren gibt.

Nach meinem Kentnisstand bietet wohl nur Chip-Tan eine (noch) 100% Sicherheit und das auch nur, weil es zu wenige nutzen.
Alles andere kann bei Überweisungen abgefangen werden, ohne das es der Kunde merkt.
Resultierend daraus wenden viele dem Online Banking wieder den Rücken zu.

[Spilli]

Umstellen auf SMS Tan oder Chip Tan hilft auch gegen sowas. Bei Virenprogrammen setze ich auf Antivir.

Habe schon lange SMS Tan, das Problem ist ich komme nicht weiter als zu diesem Popup .
Hab die Überweisung letzt endlich von dem PC meiner Freundin gemacht.

Hab mich mal schlau gemacht. Es ist ein Trojaner der Seit 2007 existiert .

[daniel_pir-at]

http://www.chip.de/downloads/HijackThis_13011934.html

Lass das mal über deinen Rechner laufen und stelle das Protokoll hier ein.

[EX0R]

100% Schutz im INTERNET gibt es nicht.
Nutze auch so ein "Kartenlesegerät" Der mir unabhängig vom PC eine TAN für den bestimmten Auftrag gibt. Das ist echt schon sicherer!
Antiviren Programme... nutze seit eh und je die freigestellten von Microsoft.
Momentan nutze ich für Win 7 Microsoft Security Essentials.

[Spilli]

http://www.chip.de/downloads/HijackThis_13011934.html

Lass das mal über deinen Rechner laufen und stelle das Protokoll hier ein.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:25:37, on 27.08.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17095)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
c:\programme\avira\antivir desktop\avgnt.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\appconf32.exe,
O2 - BHO: PriceGong - {1631550F-191D-4826-B069-D9439253D926} - C:\Programme\PriceGong\2.5.0\PriceGongIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Reader Link Helper - {C689C99E-3A8C-4c87-A79C-C80DC9C81632} - C:\WINXP\system32\AcroIEHelpe038.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [muBlinder] E:\Programme\muBlinder.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - (no CLSID) - (no file)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6734 bytes

Avira hat schon 2 Dinger gefunden, diese hab ich in Quarantäne verschoben.


Die Sparkassenseite geht zumindest wieder. Aber der Mut mich einzuloggen fehlt noch.

[RsRichard]

trojaner öffnen türen und die kriegst du so ohne weiteres als laie nicht wieder zu. daher: bevor du das nächste mal online banking machst die festplatte inkl. aller partitionen formatieren und windows mit allen treibern und updates neu aufsetzen.

das mach ich übrigens auch aber da ist mein stundenlohn deutlich höher als beim probi

[Psychotic]

trojaner öffnen türen und die kriegst du so ohne weiteres als laie nicht wieder zu. daher: bevor du das nächste mal online banking machst die festplatte inkl. aller partitionen formatieren und windows mit allen treibern und updates neu aufsetzen.

stimme ich zu... derartige probleme schleppen die kunden mehrmals die woche zu mir in die filiale...hatt aber auch schon mal selber einmal einen... mit ad-aware hatte ich da super erfahrungen... besser aber immer wie richard sagt..., neu aufsetzen... sicher ist sicher..
zusätzlich bei bank überweisungen ins ausland sperren lassen! dahin gehen die dann zu 99,8 % der o.g.fälle.

sichere variante ist wirklich sms tan oder mit kartenleser und websign und signatur-card.

neuster trend, fälschung von unterschriften auf beleghaften überweisungsträger.. geht schon seit geraumer zeit, immer mal wieder wellenartig häufiger oder weniger. die kunden wissen oft selbst nicht woher der dritte die originalunterschrift hat. einziger weg dem schaden und stress zu entgehen... beleghafte überweisungen generell sperren lassen/ mit rückfrage versehen lassen.

gruß psy